Como fazer a ativação do Intel© vPro™ - Modo Enterprise: PKI

comentado por Bruno Domingues em outubro 6, 2009

No post passado, havíamos discutido a respeito das diferentes estratégias e formas de realizar a ativação da tecnologia Intel vPro dentro da organização, agora vamos discutir especificamente o modo Enterprise usando infra-estrutura de chaves públicas (PKI). A opção por começar a discorrer por este método é porque este normalmente é o mais recomendado, pois permite que possa ser feito a ativação do vPro sem precisar tocá-lo, e portanto caso alguns dos requisitos de infra-estrutura não estejam presentes, significa que será necessário optar por outro método.

O Processo de Ativação em Modo Enterprise: PKI

Por padrão, os equipamentos vPro já vem configurados de fábrica para funcionarem em modo enterprise com a opção de PKI habilitada, portanto a seqüência de eventos que se sucede quando essa máquina é energizada e conectada ao cabo de rede são:

1. O AMT (Active Management Technology) é iniciado e solicita via DHCP um endereço IP. O AMT espera receber neste modo além do endereço IP, endereço do DNS e qual o sufixo DNS (opção 15) da rede (ex. corp.intel.com)

2. A fim de iniciar o processo de configuração, o AMT inicia a procura na rede do servidor de configuração, que pode ser o servidor de gerenciamento (ex. Microsoft System Center 2007 ou Landesk 8), bem como o Setup and Configuration Service, que é um servidor dedicado para essa finalidade que pode ser usado em conjunto com outras consoles (ex. Altiris, Unicenter, HP OpenView ou CACIC 2.4). O AMT pode automaticamente procurar pelo servidor consultando o DNS pelo alias “ProvisionServer”, sendo este nome já definido internamente no ATM e portanto será necessário se criar um entrada no DNS para que este nome seja traduzido para o IP do servidor de configuração;

3. Agora que o AMT já encontrou o servidor de provisionamento, é necessário que este valide a autenticidade do servidor de configuração, ou seja, se é realmente um servidor da organização e não um servidor não autorizado. Para isso é necessário que seja emitido um certificado digital de uma das autoridades certificadoras públicas que são previamente confiadas pelo AMT, conforme figura abaixo, para o servidor de configuração. Para se obter o certificado digital, siga as instruções encontradas neste artigo;

4. O AMT então compara o sufixo DNS recebido pelo DHCP com o nome do certificado emitido para o servidor de configuração, por exemplo, o equipamento recebeu o sufixo DNS corp.intel.com, logo espera que o servidor de provisionamento esteja sob o domínio *.corp.intel.com, e compara o hash do certificado root com aqueles hashes que estão previamente configurados no AMT - O principio da autenticidade é baseado no principio que somente o responsável na organização pela manutenção do domínio, logo confiádo, poderá solicitar um certificado público, que é garantido pelo processo de RA (Registration Authority), portanto só poderá ser usada essa abordagem em domínios internos que possam ser validados externamente, ou seja, domínios como .corp.intel.int ou intel.com.corp, não funcionam nesta abordagem.

1. Depois de verificada a autenticidade do servidor de configuração, o AMT envia para o servidor de configuração um certificado auto-assinado que será utilizado pelo servidor de configuração para iniciar uma sessão TLS com o vPro. Depois de estabelecido o túnel TLS, o servidor de configuração precisará se autenticar no AMT, que por padrão utiliza como credenciais o usuário “admin” e senha “admin” , porém no processo de provisionamento essa senha é obrigatoriamente alterada para um definida pelo administrador;

2. Depois de conectado e autenticado, o servidor de configuração envia para o AMT todos os parâmetros de configuração que são:

3. Perfil de Energia: quais são estados de energia em que o AMT deverá estar ativo, se ele poderá ser desligado depois de um tempo de inatividade podendo ser acordado por um pacote de rede (ME WoL), etc;

4. Protocolo de Autenticação: poderá ser usado Digest Authentication ou Kerberos, sendo que no primeiro, será criado contas de acesso no próprio AMT e no segundo será necessário integração com o Microsoft Active Directory;
5. Definição de Access Controll Lists: No caso de usar para autenticação o Digest Authentication, cada uma das “n” contas criadas no AMT terá certos privilégios definidos no próprio AMT, como por exemplo, capacidade de redirecionamento de IDE, controle remoto, leitura de log de auditoria, etc. enquanto se estiver usando kerberos, pode-se fazer esse mesmo tipo de associação, porém relacionando a contas e grupos do Active Directory;
6. Perfil de configuração de protocolo de acesso a rede, como o 802.1x (wired ou wireless), NAC ou NAP, bem como definição de VLAN se for necessário;
7. Poderá ser emitido certificado digital SSL para o AMT, para garantir sigilo das operações no AMT, e tais configurações de emissão de certificado também estão inseridas dentro do perfil de configuração;
8. Definições de rede, como filtro ICMP, filtros de IP/Porta, etc.

9. dentre outras opções que podem variar de fabricante para fabricante de console de gerenciamento;

10. Depois de todas as configurações aplicadas ao equipamento, ele estará pronto para ser acesso remotamente pela console de gerencia

Este é basicamente o processo de configuração de um equipamento vPro em modo enterprise usando PKI, no próximo post iremos discutir como fazer essa mesma configuração usando PSK.

Abraços e até a próxima.

Comentários (0)

Outros posts com as tags: altiris, amt, ativação, cacic, hpopenview, me, pki, psk, sccm2007, scs, unicenter, vpro